Asp.net 是否有人使用基本/摘要身份验证保护.net wcf RESTful服务？

我必须确保WCF RESTful服务，我正在考虑以下两种方式之一

1： 通过实现本文中建议的功能

2： 只需在url或post变量中传递用户名和密码

我想知道的是有人做过这件事吗？ 这样做吗？ 如果我使用第二个选项，鉴于asp.net表单以明文形式发送，这会被指责为不安全吗

---

在查询字符串上传递PII信息是绝对不允许的

WCF支持开箱即用的基本身份验证。您需要将其与传输安全SSL结合起来，以确保数据通过网络安全加密。这绝对是web上最低公分母的身份验证形式，将得到最广泛的支持。要使用这种安全性配置WCF REST服务，只需如下配置服务的绑定：

<webHttpBinding>
    <binding name="MyBinding">
        <security mode="TransportCredentialOnly">
           <transport clientCredentialType="Basic" />
        </security>
    </binding>
</webHttpBinding>

---

WCF也支持开箱即用的摘要身份验证，但前提是要针对服务器的AD进行验证，这使得它在internet场景中几乎毫无用处。因此，要进行摘要身份验证，您需要编写自己的实现，该实现与WCF安全运行时挂钩。在网上有一些这样做的例子。这就是说，如果您有SSL，那么与基本身份验证相比，进行摘要身份验证没有任何实际好处。

表单身份验证是安全的，因为它实现了内置的身份验证。如果您没有将HTTPSSSL用于选项2，那么这不是一个安全选项。嗨，不幸的是，这不是一个使用SSL和AD的选项。这是一个打包的web应用程序，出售给客户。你是说用WCF Rest做摘要在这种情况下是不可能的吗？不，只是WCF没有提供开箱即用的功能。因此，您需要编写自己的摘要身份验证实现，或者查找其他人编写的摘要身份验证实现。不幸的是，我看到的大多数都是基于WCF REST初学者工具包构建的。我个人建议不要这样做，因为微软hs已经停止了对它的支持。使用其中一个实现并使用纯WCF扩展点编写自己的实现并不需要太多。Drew，你能告诉我如何找到有关如何“挂接到WCF安全例程”的信息吗？请